Configurare una relazione di trust tra ADFS e Azure AD

Aggiornamento: 25 giugno 2015

Si applica a: Azure, Office 365, Power BI, Windows Intune

Ogni dominio di cui si desidera impostare la federazione deve essere aggiunto come dominio con accesso Single Sign-On o convertito da dominio standard in dominio con accesso Single Sign-On. L'aggiunta o la conversione di un dominio configura un trust tra AD FS e Microsoft Azure Active Directory (Microsoft Azure AD).

Importante

  • Se si utilizza un sottodominio (ad esempio corp.contoso.com) oltre a un dominio di primo livello (ad esempio contoso.com), sarà necessario aggiungere il dominio di primo livello nel servizio cloud prima di aggiungere eventuali sottodomini. Quando il dominio di primo livello è configurato per Single Sign-On, vengono configurati automaticamente anche tutti i sottodomini.

  • La configurazione di un trust è un'operazione one-time e non è necessario eseguire nuovamente il modulo Microsoft Azure Active Directory per Windows PowerShell cmdlet se si aggiungono altri server AD FS alla server farm.

  • Se si aggiunge e si verifica un dominio con il modulo Microsoft Azure Active Directory, è necessario specificare diverse impostazioni aggiuntive. Queste impostazioni sono necessarie per visualizzare i record DNS che devono essere configurati per consentire al dominio di interagire con il servizio cloud.

Se è necessario supportare più domini di primo livello, utilizzare l'opzione SupportMultipleDomain con i cmdlet, ad esempio con quelli utilizzati nelle procedure "Aggiungere un dominio" e "Convertire un dominio".

Per aggiungere ad esempio sia contoso.com sia fabrikam.com come domini Single Sign-On, eseguire la procedura descritta in "Aggiungere un dominio" per contoso.com utilizzando l'opzione SupportMultipleDomain in tutti i passaggi in cui viene utilizzato un cmdlet. Pertanto, nel passaggio 5 si utilizzerà New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Dopo aver completato tutti i passaggi della procedura per contoso.com, si ripeterà la procedura per il dominio fabrikam.com. Nel passaggio 5 si utilizzerà New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Per altre informazioni, vedere Supporto di più domini per la federazione con Azure AD.

Completare una delle procedure seguenti per configurare l'attendibilità federata con Azure AD, a seconda che sia necessario aggiungere un nuovo dominio o convertire un dominio esistente.

  • Aggiungere un dominio

  • Trasformazione di un dominio

Aggiungere un dominio

  1. Aprire il modulo Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet si connette ad Azure AD. La creazione di un contesto che si connette ad Azure AD è necessaria prima di eseguire uno qualsiasi dei cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <il server> primario DI AD FS è il nome FQDN interno del server AD FS primario. Questo cmdlet crea un contesto che consente la connessione ad AD FS.

    Nota

    Se è stato installato il modulo Microsoft Azure Active Directory nel server AD FS primario, non è necessario eseguire questo cmdlet.

  5. Eseguire New-MsolFederatedDomain –DomainName <domain>, dove <il dominio è il dominio> da aggiungere e abilitare per l'accesso Single Sign-On. Questo cmdlet consente di aggiungere un nuovo dominio o sottodominio di primo livello che verrà configurato per l'autenticazione federata.

    Nota

    Una volta utilizzato il cmdlet New-MsolFederatedDomain per aggiungere un dominio di primo livello, non sarà possibile utilizzare il cmdlet New-MsolDomain per aggiungere domini standard (non federati).

  6. Utilizzando le informazioni fornite dai risultati del cmdlet New-MsolFederatedDomain, contattare il registrar per creare il record DNS necessario. In tal modo si dimostra di essere proprietari del dominio. La propagazione potrebbe richiedere fino a 15 minuti, a seconda del registrar. La propagazione delle modifiche nel sistema potrebbe richiedere fino a 72 ore. Per altre informazioni, vedere Verificare un dominio in qualsiasi registrar di nomi di dominio.

  7. Eseguire nuovamente New-MsolFederatedDomain, specificando lo stesso nome di dominio per completare la procedura.

Trasformazione di un dominio

Quando si converte un dominio esistente in un dominio di accesso Single Sign-On, ogni utente con licenza diventerà un utente federato, usando le credenziali aziendali di Active Directory esistenti (nome utente e password) per accedere ai servizi cloud. L'esecuzione di un'implementazione in fasi dell'accesso Single Sign-On non è attualmente possibile; È tuttavia possibile eseguire l'accesso Single Sign-On pilota con un set di utenti di produzione dalla foresta Active Directory di produzione. Per altre informazioni, vedere Eseguire un progetto pilota per testare un singolo signon prima di configurarlo (facoltativo).

Nota

È consigliabile eseguire una conversione quando il numero di utenti è ridotto al minimo, ad esempio nei weekend, per limitare l'impatto.

Per convertire un dominio esistente in un dominio con accesso Single Sign-On, effettuare le seguenti operazioni:

  1. Aprire il modulo Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet si connette ad Azure AD. La creazione di un contesto che si connette ad Azure AD è necessaria prima di eseguire uno qualsiasi dei cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <il server> primario DI AD FS è il nome FQDN interno del server AD FS primario. Questo cmdlet crea un contesto che consente la connessione ad AD FS.

    Nota

    Se è stato installato il modulo Microsoft Azure Active Directory nel server AD FS primario, non è necessario eseguire questo cmdlet.

  5. Eseguire Convert-MsolDomainToFederated –DomainName <domain>, dove <il dominio> è il dominio da convertire. Questo cmdlet consente di trasformare il dominio con autenticazione standard in dominio Single Sign-On.

Nota

Per verificare che la conversione sia stata eseguita, confrontare le impostazioni nel server AD FS e in Azure AD eseguendo Get-MsolFederationProperty –DomainName <domain>, dove <il dominio è il dominio> per cui si desidera visualizzare le impostazioni. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain> per sincronizzarle.

Passaggio successivo

Dopo avere configurato una relazione di trust tra ADFS e Azure AD, è necessario configurare la sincronizzazione di Active Directory. Per altre informazioni, vedere Roadmap di sincronizzazione directory. Dopo aver configurato la sincronizzazione di Active Directory, vedere Verificare e gestire l'accesso Single Sign-On con AD FS.

Vedere anche

Concetti

Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On
Single Sign-On: roadmap